「Magento」に深刻な脆弱性、ECサイトが乗っ取られる恐れ
ECプラットフォーム「Magento」に見つかったXSSの脆弱性は、リモートから簡単に悪用でき、ECサイトを乗っ取られる恐れもある。
» 2016年01月26日 07時34分 公開
[鈴木聖子,ITmedia]
オープンソースのECプラットフォーム「Magento」に深刻な脆弱性が見つかり、1月20日付で公開されたエンタープライズ版とコミュニティ版のバージョン2.0.1で修正された。
Magentoのセキュリティ情報によれば、最も危険度が高いクロスサイトスクリプティング(XSS)の脆弱性では、ストアフロントで顧客がJavaScriptコードを含んだユーザー名を登録すると、Magentoでそのユーザー名が適切に検証されず、バックエンドで編集する際に管理者コンテキストで実行される。このJavaScriptによって管理者セッションが乗っ取られたり、ストア管理者として任意の操作が行われたりする恐れがある。
脆弱性を発見したセキュリティ企業のSucuriによると、この問題はリモートから簡単に悪用でき、Webサイトを乗っ取られて新しい管理者アカウントを開設され、顧客情報を盗み出されたりする恐れがあるという。
現時点で攻撃の発生は確認されていないものの、この脆弱性はMagento CEのほぼ全てのインストールに影響が及ぶことから、できるだけ早くパッチを適用するよう同社は促している。
脆弱性情報開示までの流れ(Securiより)バージョン2.0.1では他にも情報流出やSQLインジェクション、XSSなど危険度の高い脆弱性が多数修正されている。また、PHP7.0.2の正式サポートなどの新機能も盛り込まれた。
関連記事
「Magento」利用のECサイトに不正なコード、マルウェア感染の踏み台に
コンテンツ管理システムの「Magento」を使っている多数サイトに大規模攻撃が仕掛けられ、マルウェア感染サイトに誘導させる不正なスクリプトが挿入されていることが分かった。
Joomlaの脆弱性突く攻撃発生、直ちにパッチ適用を
脆弱性情報が公開されてからわずか4時間のうちに、人気サイトに対する直接的な攻撃が確認されたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- ゼロトラストの最新トレンド5つをガートナーが発表
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- OpenAI Japan設立 岸田首相への宣言から1年 日本語特化GPT提供へ 速度3倍コスト半減
ITmediaはアイティメディア株式会社の登録商標です。